基礎知識
クラウドの安全性を客観的に評価する「第三者認証」
2023年3月14日
2018年、日本政府は「政府情報システムにおけるクラウドサービスの利用に係る基本方針」というガイドライン内において、「政府情報システムの整備にあたっては、クラウドサービスの利用を優先的に検討する」と表明しました。この方針は「クラウド・バイ・デフォルト原則」と呼ばれています。
こうした政府の方針の影響もあり、これ以降、民間企業がITシステムの導入や更新を考える際も「クラウド」を第1候補とする傾向が加速しています。現在において、クラウドを選択するのは決して特別なことではなく、もはや当たり前となっていると言ってもよいでしょう。
しかし、総務省が公開している「令和2年度の情報通信白書」によると、クラウドをまったく利用していない企業も、いまだ多く存在します。
情報通信白書によると、これらの企業がクラウドを利用しない理由として(「必要がない」を除いて)最大のものは、「情報漏えいなどセキュリティに不安がある」となっています。具体的には31.8%もの企業が、クラウドを利用しない理由にセキュリティ不安を挙げているのです。この数値は年々減少してきてはいるものの、依然として大きな数値であることは間違いありません。
このように、一部企業の間には「クラウドという新しいプラットフォームに対する漠然とした不安」が根強く残っていることがわかります。クラウドの利用をさらに促進するためには、こうした不安を払拭して行かなければなりません。しかし、クラウドベンダーから提供されているサービスや価格だけを見ても、そのベンダーを本当に信頼してよいのか、ユーザーが判断するのは困難です。
そこで本記事では、ユーザーがクラウドベンダーを評価する際のポイントの1つとなる「第三者認証」について解説します。
クラウドにおけるセキュリティの考え方
OECD(経済協力開発機構)が1992年に策定した「情報システムのセキュリティに関するガイドライン」において、情報システムのセキュリティの基本概念となる「情報セキュリティの3要素」が説明されています。
情報セキュリティの3要素とは、許可された者だけが正しい方式に従った場合に限って情報が開示されること(機密性:Confidentiality)、データや情報が正確で完全な状態を保持していること(完全性:Integrity)、許可された者がいつでも情報にアクセスできること(可用性:Availability)の3つです。それぞれの頭文字を取って、「CIA」と呼ぶこともあります。CIAの詳細につきましては、「情報セキュリティとは?知っておきたい3要素とクラウドとの関係を解説」をご覧ください。
セキュリティ対策は、この3要素に沿って行うのが基本です。これはオンプレミスやクラウドのように、プラットフォームが異なっても違いはありません。しかし、オンプレミスとクラウドでは、「責任分界点」が存在する点が大きく異なります。
クラウドでは、クラウドベンダーとユーザーがそれぞれの責任範囲において役割を分担し作業を実施する、「共同責任モデル」と呼ばれる考え方を採用しています。責任分界点とは、共同責任モデルの考え方に基づいて、クラウドベンダーとユーザーが管理する範囲を定めた境界の呼び名です。
具体的な例を挙げると、IaaSではハードウェアやネットワークを含むインフラ基盤はクラウドベンダーが管理する範囲となります。対して、仮想サーバーやOSより上位のレイヤー(OS・ミドルウェア・アプリケーション・データなど)は、ユーザーの責任で管理しなければなりません。セキュリティ対策もこの考え方の下で実施されるため、OSやミドルウェアのセキュリティ対策はクラウドベンダーに任せることはできず、ユーザー自身の責任で行わなければならないのです。また、逆にインフラ基盤部分に対しては、ユーザーが手を出すことはできません。これは言い換えると、インフラ基盤のセキュリティを保つには、「きちんとしたセキュリティ対策を行っているクラウドベンダーを選定する」以外には方法がないことを意味します。
クラウドをセキュアに運用するためには、「インフラ基盤に対してクラウドベンダーがどのようなセキュリティ対策を実施しているか」と「ユーザーがクラウド上でどのようなセキュリティ対策を実施するか」の双方を考慮しなければならないのです。
クラウドのセキュリティで考慮すべきポイントとは
オンプレミスもクラウドも、ITシステムとしての基本的なセキュリティ対策の考え方そのものに大きな違いはありません。とはいえ、クラウド特有の考慮すべきポイントもまた存在します。
前述の通り、クラウドで提供されるサービスのうち、クラウドベンダーの責任範囲にある部分は、運用をベンダーに任せることができます。こうした運用負荷の軽減は、クラウドを採用する大きなメリットの1つです。しかし、これはユーザーが自由にカスタマイズしたり、直接コントロールすることが困難であることも意味します。メリットである反面、ある意味ではデメリットであるとも言えるでしょう。例えば、以下に挙げるような要素は、多くのクラウドベンダーでは、ユーザー自身でコントロールすることができません。
- クラウド上に保存されているデータの秘匿性
- クラウドベンダー側に起因する、大規模システム障害発生時の可用性の低下
- クラウドベンダーが内部で利用している別サービスのトラブルによる影響など、クラウドベンダーのサプライチェーンが抱えるリスク
- リソースを他社と共有する「マルチテナント」による、パフォーマンス劣化などのリスク
- クラウドベンダーの倒産によるサービスの終了
そのため、利用するクラウドサービスを選定する際には、システムが要求する水準・必要なコスト・得られるメリットといった面だけでなく、懸念されるこれらのリスクを総合的に評価する必要があるでしょう。利用するクラウドベンダーが、具体的にどのようなセキュリティ水準でサービスを提供しているかは、公開しているSLA・SLOや第三者認証の取得状況、セキュリティホワイトペーパーなどを確認してください。
また、同時にユーザー自身がコントロール可能な責任分界点の範囲で、トラブル発生時の可用性低下リスクを抑えることも検討しましょう。クラウドならではの機能を活用した具体的な対策方法については、「クラウドデザインパターン」を参考にするとよいでしょう。
クラウドの安全性を客観的に評価する「第三者認証」
多くのクラウドベンダーは、第三者の視点で客観的に評価される「認証制度」の取得状況や各種基準への対応状況を公開し、自社における情報セキュリティ強化への取り組みをアピールしています。これらは、セキュリティに対するユーザーの不安を解消すると同時にクラウドベンダーを評価する際において、大きな検討材料となるでしょう。
代表的な第三者認証や基準には、以下に挙げるものがあります。
情報セキュリティマネジメントシステム(ISMS)
「情報資産」とは、企業や組織が保有する様々な情報の呼び名です。企業において、こうした情報資産のセキュリティを管理するための枠組みを「情報セキュリティマネジメントシステム(ISMS)」と呼んでいます。
しかし、ISMSとはあくまで情報セキュリティのための枠組みの総称であり、その具体的な内容は組織によって異なります。そこで、ISMSを運用するための具体的な要求事項を定めた国際規格として「ISO/IEC 27001」が作られました。ISO/IEC 27001を取得している企業は、定められた国際規格に基いたISMSを運用していることが、第三者機関によって認められている企業であるということです。
ISMSクラウドセキュリティ認証
2010年頃から経済産業省が中心になり、クラウドのセキュリティに関するガイドラインや、それに基づく公的認証制度を作ろうという取り組みが進められてきました。その成果として、2013年に国内有識者やクラウド事業者が協力して策定されたのが「クラウド情報セキュリティ管理基準」です。そして、この基準をベースとした国際基準として「ISO/IEC 27017」があります。
国際基準であるISO/IEC 27017を認証制度化したものが、「ISMSクラウドセキュリティ認証」です。「ISMSクラウドセキュリティ認証」の登場により、ユーザーはクラウドサービスの安全性を、より客観的に評価しやすくなったと言えるでしょう。詳細については、「日本発祥のISO/IEC 27017を適用した「ISMSクラウドセキュリティ認証」」をご覧ください。
ISMAP(Information system Security Management and Assessment Program)
政府のシステムとして採用されるクラウドサービスは、セキュリティ対策の実施をはじめ、政府が要求するレベルのさまざまな水準を満たしている必要があります。しかし、政府がシステムを調達するたびに各クラウドサービスを個別に評価、検討するのは非効率です。そこで、各クラウドサービスをあらかじめ評価し、要求を満たしているサービスをリスト化したものが「ISMAP」です。ISMAPの中からサービスを選定することで、効率よくクラウドサービスを調達することができるようになります。
ISMAPとは、あくまで政府が情報システムを調達しやすくすることを目的とした登録制度ですが、民間での利用においても、大いに参考となる情報です。なぜならば、ISMAPに登録済みのクラウドサービスは、ISMAP監査機関による非常に厳格な監査をパスしているため、いわば政府機関の要求を満たしたという「お墨付き」と言えるためです。
ISMAPの詳細につきましては、「政府情報システムのためのクラウドセキュリティ評価制度「ISMAP」」をご覧ください。
FISC安全対策基準
さまざまなITシステムの中でも、特に金融情報システムには高い信頼性とセキュリティが求められます。そこで、公益財団法人金融情報システムセンター(The Center for Financial Industry Information Systems)が、金融情報システム向けの安全対策の共通指針を定めています。これを「FISC安全対策基準」と呼びます。
FISC安全対策基準の詳細につきましては、「金融機関が情報システムを構築する際の安全対策基準「FISC安全対策基準」とは?」をご覧ください。
SOC(Service Organization Controls)
SOC(Service Organization Controls)とは、国際的なトラストサービスの原則、基準に基づいて、第三者が企業を評価するものです。これはもともと、アメリカ公認会計士協会 (AICPA)および、カナダ公認会計士協会 (CICA) が制定しました。クラウドベンダーでは、企業のサービスやシステムに関するセキュリティ、可用性などの統制状況を評価する「SOC2」を取得しているケースが多く見られます。
PCI DSS(Payment Card Industry Data Security Standard)
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード情報の保護を目的として、国際的なカードブランド5社によって策定された、カード情報セキュリティの国際基準です。クレジットカードはその特性上、金融情報システムと同様に非常に高いセキュリティが求められます。PCI DSSでは、クレジットカード情報の保護に特化した12の要件が定義されています。
プライバシーマーク(Pマーク)
プライバシーマーク(Pマーク)は、個人情報を取り扱う仕組みとその運用が適切かを評価し認証する日本の制度です。その内容は「JIS Q 15001個人情報保護マネジメントシステム」に準拠した「プライバシーマークにおける個人情報保護マネジメントシステム構築・運用指針」に基いており、1998年より一般財団法人日本情報経済社会推進協会(JIPDEC)によって運営されています。
ニフクラ/FJcloud-Vの第三者認証の取得状況
ニフクラ/FJcloud-Vでは、クラウド提供事業者として「ISMSクラウドセキュリティ認証」を取得しています。またそれだけに留まらず、政府情報システムのためのセキュリティ評価制度「ISMAP」のサービスリストにも登録済みとなっています。
それ以外にも、金融システムの導入運用における業界標準のガイドラインとされる「FISC安全対策基準」対応に向けて、事業者として実施済みの対応とお客様自身で必要な対応をまとめたチェックリストを提供しています。詳細につきましては、「ニフクラのセキュリティ」をご覧ください。
クラウドのセキュリティを解説したeBookを無料提供中
ニフクラ/FJcloud-Vでは、クラウドの導入を検討中の方から多く寄せられるセキュリティについての質問事項をまとめたeBook「セキュリティチェックシート よくある質問16選」を無料で提供しています。
また、企業のITインフラをクラウド化するにあたって、チェックすべきセキュリティリスクや課題、考慮すべきポイントと対策を解説したeBook「「漠然とした不安」から解放されたい人のためのクラウドセキュリティ読本」も、同様に無料で提供しています。ぜひ、ダウンロードしてご覧ください。
